Das BAG hat mit Vorlagebeschluss (EuGH) vom 22. September 2022 – 8 AZR 209/21 (A) – wie folgt entschieden:
1. Die „Verantwortlichkeit für die Verarbeitung personenbezogener Daten iSv. Art. 4 Nr. 7 DSGVO“ setzt nicht voraus, dass der Verantwortliche allein über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies kann nach Art. 4 Nr. 7 DSGVO auch gemeinsam mit anderen erfolgen (Rn. 20).
2. Eine Verarbeitung personenbezogener Daten bedarf einer Ermächtigung nach der DSGVO. Dies gilt auch bei der Beurteilung der Rechtmäßigkeit der in einer Kollektivvereinbarung – hier einer Betriebsvereinbarung iSd. BetrVG – vorgesehenen und erfolgten Datenverarbeitung (Rn. 22 ff.).
3. Nach Art. 88 Abs. 1 DSGVO können die Mitgliedstaaten für die Datenverarbeitung im Beschäftigungskontext durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorsehen. Die Frage, wie diese Ermächtigung in einem Fall wie hier zu verstehen ist, kann der Senat nicht ohne Vorabentscheidungsersuchen nach Art. 267 AEUV beantworten (Rn. 22 ff.).
4. Mit dem Vorabentscheidungsersuchen ist insbesondere zu klären, ob Art. 88 Abs. 1 DSGVO es zulässt, eine nationale Rechtsvorschrift wie § 26 Abs. 4 BDSG – wonach die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist, wobei Art. 88 Abs. 2 DSGVO zu beachten ist – dahin zu verstehen, dass außer den Vorgaben in Art. 88 Abs. 2 DSGVO keine weiteren Vorgaben der DSGVO von Bedeutung sind (Rn. 25).
5. Wäre ein solches Verständnis einer nationalen Rechtsvorschrift wie § 26 Abs. 4 BDSG mit Art. 88 Abs. 1 DSGVO vereinbar, dann wäre bei einer Regelung durch Kollektivvereinbarung – wie hier einer Betriebsvereinbarung – anders als bei einer Regelung in einer allgemeinen Rechtsvorschrift – wie etwa einem Gesetz – die Erforderlichkeit der Datenverarbeitung nicht jeweils anhand der Vorgaben der DSGVO zu prüfen.
Im Ergebnis könnte im Einzelfall eine Datenverarbeitung im Arbeitsverhältnis, die eigentlich unrechtmäßig wäre, weil sie nicht den Vorgaben der Erforderlichkeit von § 26 Abs. 1 BDSG, Art. 5, Art. 6 Abs. 1 bzw. Art. 9 Abs. 1 und Abs. 2 DSGVO entspricht und für die auch keine Einwilligung der betroffenen Person vorliegt, allein wegen des Umstands ihrer Regelung in einer Kollektivvereinbarung erlaubt sein (Rn. 25).
6. Aus Sicht des Senats spricht nichts dafür, Art. 88 Abs. 1 DSGVO in einem solchen Sinne zu verstehen. Vielmehr dürfte davon auszugehen sein, dass entsprechende „spezifischere Vorschriften“ iSv. Art. 88 Abs. 1 DSGVO – sowohl als Rechtsvorschrift als auch als Kollektivvereinbarung – immer auch die Einhaltung der sonstigen Vorgaben der DSGVO voraussetzen. Nach Auffassung des Senats ändert daran nichts, dass die Parteien einer Kollektivvereinbarung – hier einer Betriebsvereinbarung – eine größere Sachnähe besitzen und dass zu erwägen sein könnte, dass sie im Regelfall die gegenläufigen Interessen zu einem angemessenen Ausgleich gebracht haben (Rn. 26).
7. Etwas Anderes ergibt sich nach Auffassung des Senats auch nicht aus einer Bezugnahme wie der in § 26 Abs. 4 BDSG auf Art. 88 Abs. 2 DSGVO. Art. 88 Abs. 2 DSGVO, wonach diese Vorschriften – gemeint sind Vorschriften iSv. Art. 88 Abs. 1 DSGVO – geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz, stellt aus Sicht des Senats nicht von der Einhaltung der sonstigen Vorgaben der DSGVO frei (Rn. 27).
8. Aus Sicht des Senats bestehen erhebliche Bedenken, dass eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift – wie § 26 Abs. 4 BDSG – dahin ausgelegt werden darf, dass den Parteien einer Betriebsvereinbarung bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist. Zwar könnte zugunsten eines solchen Spielraums sowohl der Gedanke der Sachnähe der Vertragspartner von Kollektivvereinbarungen als auch die Erwägung sprechen, dass die Vertragspartner einer Betriebsvereinbarung im Regelfall zu einem angemessenen Interessenausgleich gekommen sind. Allerdings sprechen wesentliche Vorgaben des Unionsrechts gegen die Annahme einer eingeschränkten Überprüfbarkeit. Selbst wenn auch Betriebsvereinbarungen als Ausfluss des in Art. 28 GRC anerkannten Grundrechts auf Kollektivverhandlungen angesehen werden könnten, wovon der Senat wegen der in § 74 Abs. 2 Satz 1 BetrVG untersagten Maßnahmen des Arbeitskampfs schon nicht ausgeht, ergibt sich aus der Rechtsprechung des Gerichtshofs der Europäischen Union, dass selbst bei den in den Anwendungsbereich von Art. 28 GRC fallenden Tarifverträgen ein lediglich eingeschränkt überprüfbarer Spielraum nicht besteht. Es wäre nämlich nach der Rechtsprechung des Gerichtshofs mit dem Wesen des Unionsrechts unvereinbar, wenn dem nationalen Gericht die uneingeschränkte Befugnis abgesprochen würde, unmittelbar bei der ihm obliegenden Anwendung des Unionsrechts Bestimmungen eines Tarifvertrags – oder ggf. einer Betriebsvereinbarung – außer Anwendung zu lassen, die die volle Wirksamkeit der unionsrechtlichen Vorschriften möglicherweise behindern (Rn. 30 ff.).
9. Soweit die erfolgte Datenverarbeitung nicht mit der DSGVO vereinbar wäre, stellen sich im Hinblick auf den vom Kläger geltend gemachten Schaden(s)ersatzanspruch Fragen nach der Auslegung von Art. 82 Abs. 1 DSGVO. Nach dieser Bestimmung hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schaden(s)ersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (Rn. 34 ff., 39 ff., 42 ff.).
(Orientierungssätze)